W związku z ostatnimi doniesieniami na temat zidentyfikowania nowej luki typu 0day, która pozwala na uruchomienie złośliwego kodu na komputerze użytkownika, zespół CERT Polska zaleca :

1. Zrezygnować z używania przeglądarki Internet Explorer 6
2. W przypadku używania przeglądarki Internet Explorer - korzystać  z wersji 7 lub 8 z WŁĄCZONYM trybem “Protected Mode” [1] oraz aktywować funkcję DEP (Data Execution Prevention) [2]
3. W przypadku konieczności korzystania z funkcjonalności ograniczonej uruchominiem “Protected Mode” lub DEP wykorzystywanie alternatywnych przeglądarek (np: Mozilla Firefox, Opera, Chrome, itp.)

Aktualizacji łatającej lukę można spodziewać się nie wcześniej, jak 9 lutego.

Jak podaje blogs.technet.com aktualizacji możemy spodziewać się juz 21 stycznia 2010

Więcej informacji na temat luki oraz przeglądarek podatnych na atak można znaleźć na stronie blogs.technet.com. Można tam znaleźć również opis jak zabezpieczyć się przed opisaną luką.

Swoją opinią w sprawie omawianej luki podzielił się z nami Polski oddział firmy Microsoft Corporation.

Stanowisko Microsoft przesłane do CERT Polska :

Microsoft jest zaniepokojony faktem, że został opublikowany kod wykorzystujący lukę bezpieczeństwa, która dotyka klientów używających przeglądarki Internet Explorer 6. Pragniemy podkreślić, że dzięki zaawansowanym narzędziom bezpieczeństwa w Internet Explorer 8, do tej pory nie zaobserwowano podobnych ataków na komputery użytkowników korzystających z tej wersji przeglądarki. Nie stwierdziliśmy także żadnych ataków na użytkowników korzystających z Internet Explorer 7.

W celu ochrony naszych konsumentów, zalecamy wszystkim klientom natychmiastowy upgrade przeglądarki do wersji Internet Explorer 8.

Konsumenci powinni także rozważyć zastosowanie się do tymczasowych rozwiązań dostarczonych w Biuletynie Bezpieczeństwa.

W przeglądarce Internet Explorer została zidentyfikowana nowa luka typu 0day, która umożliwia atakującemu uruchomienie złośliwego kodu i w efekcie przejęcie kontroli nad maszyną użytkownika. Microsoft potwierdza w opublikowanym niedawno Security Advisory, że podatnością są objęte przeglądarki w wersjach 6 oraz 7. Wolny od zagrożenia pozostaje Internet Explorer w wersji 8 (wg. danych Microsoft). Użytkownicy starszych wersji przeglądarki powinni wyłączyć obsługę ActiveScripting w strefie Internet oraz Local Intranet do czasu pojawienia się stosownej łatki.

Pierwsze wzmianki o nowej luce pochodzą z listy BugTraq prowadzonej przez SecurityFocus. Analitycy z firm VUPEN Security oraz Symantec potwierdzają, że nowo-odkryta luka może być użyta do infekowania komputerów złośliwym kodem, jednakże jak dotąd nie zaobserwowano jej wykorzystania w Internecie.

(more…)

W dniu 7 września 2009, Laurent Gaffié opublikował szczegóły nowej podatności systemu operacyjnego Windows Vista. Wykorzystana jest w tym przypadku wadliwa obsługa protokołu SMB2.0, która może być wykorzystana nie tylko do ataku typu denial-of-service (jak początkowo zaklasyfikowano tę podatność), ale również do zdalnego wykonania kodu na maszynie ofiary.

Rubén Santamarta przeprowadził analizę podatności, obecną w module SRV2.SYS. Wartość pola Process ID High w nagłówku SMB jest tam wykorzystywana bez jakiejkolwiek kontroli jako indeks tablicy funkcji. Można w ten sposób łatwo wskazać obszar pamięci, znajdujący się poza tą tablicą i doprowadzić do zawieszenia systemu (w najprostszym przypadku) lub do wykonania niepożądanego kodu.

W chwili pisania tego artykułu, poprawka likwidująca to zagrożenie nie była jeszcze dostępna. Opublikowane zostało natomiast Microsoft Security Advisory opisujące kroki, które należy podjąć w celu zminimalizowania ryzyka związanego z tą luką. Warto nadmienić, że system Windows 7 jest podatny na tego typu atak jedynie w wersji Release Candidate. Użytkownicy finalnej wersji tego systemu nie są dotknięci tym zagrożeniem. Aby zabezpieczyć się przed atakami w przypadku systemu Windows Vista, wystarczy aby profil sieci ustawiony był jako ‘Publiczny’ – spowoduje to blokowanie połączeń TCP przychodzących na port 445, który jest wykorzystywany do tego ataku.
(more…)

Od ostatniego dnia sierpnia dostępny jest w Internecie exploit wykorzystujący nieznaną wcześniej lukę w usłudze FTP popularnego oprogramowania serwerowego Microsoft Internet Information Services (IIS). Firma z Redmond do tej pory nie wydała łaty usuwającej niebezpieczeństwo, ale – jak zapewnia – cały czas nad tym pracuje.

Problem tkwi w parserze nazw katalogów – użycie komendy NLST (NAME LIST) ze specyficznym ciągiem znaków powoduje przepełnienie bufora stosu (stack-based buffer overflow). W wyniku tego możliwe jest wykonanie dowolnego kodu na atakowanym systemie, lub ewentualnie zawieszenie aplikacji (atak Denial-of-Service).

Aby tak się stało, atakujący musi mieć dostęp do konta użytkownika na serwerze FTP, który ma prawo do zapisu (by utworzyć katalog o ’specjalnej’ nazwie). Upubliczniony pierwotnie exploit (jak i te późniejsze) wykorzystują użytkownika anonymous. Oczywiście istnieje także możliwość włamania się na inne konto, np. łamiąc hasło.

Podatne na atak są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP) oraz IIS 6.0 (Windows Server 2003). IIS 7.0 (Windows Vista, Windows Server 2008) nie jest zagrożony. Tymczasowym rozwiązaniem (tzw. workaround), a właściwie oddaleniem problemu, jest odebranie praw zapisu dla konta typu anonymous i innych bezhasłowych. Ewentualnie wyłączenie w usłudze FTP tych kont. Należy jednak pamiętać, że to rozwiązanie nie gwarantuje bezpieczeństwa – działa tylko na upublicznione do tej pory exploity. Dalej istnieje możliwość ataku z poziomu innych użytkowników. Istnieje jeszcze rozwiązanie blokowania z poziomu systemu plików NTFS możliwości tworzenia katalogów przez użytkowników z grupy FTP, ale to dotknie wszystkie konta FTP oraz zabezpieczy przed wstrzyknięciem kodu, ale nie przed atakiem DoS. Kroki pokazujące jak wykonać te wszystkie operacje znajdują się w opisie luki na stronach Microsoft.

(more…)

W poprzednim odcinku.
Witam w drugiej części bliskich spotkań ze złośliwymi plikami PDF. W poprzednim odcinku przedstawione zostały informacje na temat budowy i potencjalnego zagrożenia jakim stają się pliki PDF. Szerokie możliwości jakie oferuje format zwróciły uwagę grup, które wykorzystując jego popularność rozpowszechniają wirusy, trojany i innego rodzaju złośliwe oprogramowanie. W poniższym artykule postaram się pokazać sposoby obrony przed atakami z wykorzystaniem plików PDF. Osoby bardziej zainteresowane znajdą opis w jaki sposób sprawdzić czy dany plik jest złośliwy i ewentualnie wyłuskać kod odpowiedzialny za zarażenie komputera.

Jak się (nie) zarazić.
Najwięcej złośliwych plików PDF udało się znaleźć na skompromitowanych serwisach WWW. Były one wykorzystywane jako jedna z metod infekowania komputerów poprzez przeglądarki WWW. Odkąd razem z Adobe Acrobat Reader’em instalowane są rozszerzenia do przeglądarek ta forma rozprzestrzeniania się zagrożeń związanych z plikami PDF jest najczęściej wykorzystywana. Typowym sposobem jest otwieranie pliku PDF w tzw. ramce pływającej (IFRAME), która jest niewidoczna dla użytkownika. W tle uruchamiana jest wtyczka, która otwiera przesłany plik i tym samym powoduje infekcję maszyny. Bardzo rzadko ale także zdarzają się złośliwe pliki PDF przesyłane w postaci załączników w SPAM’ie. W takim przypadku wymagana jest interakcja z użytkownikiem i zachęcenie go do otwarcia takiego pliku.
Ochroną przed zarażeniem się poprzez pliki PDF jest przede wszystkim zdrowy rozsądek. Nie należy otwierać plików pochodzących z nieznanych źródeł. Dobrą praktyką jest także wyłączenie obsługi plików PDF w przeglądarce. Dodatkowo możemy wyłączyć obsługę JavaScript’u w programie Adobe Acrobat Reader, lecz nie jest to rozwiązanie do końca skuteczne. Ale o tym za chwilę.
(more…)

W dniu 28 lipca 2009 Micha Krause zgłosił błąd dotyczący popularnego serwera DNS — BIND9, który okazał się być podatny na zdalny atak typu DoS (Denial-of-Service).

Wykorzystanie luki umożliwia wyłączenie serwera BIND9 za pomocą pojedynczego pakietu UDP, o ile atakowany serwer DNS jest serwerem typu master przynajmniej dla jednej ze stref. Należy przy tym pamiętać, że zgodnie z RFC 1912 Common DNS Operational and Configuration Errors każdy serwer DNS powinien być podstawowym serwerem dla stref specjalnych, typu localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa, 0.in-addr.arpa.

Atak polega na wykorzystaniu mechanizmu aktualizacji DNS opisanego w RFC 2136 Dynamic Updates in the Domain Name System (DNS UPDATE). Atakujący wysyła spreparowane zapytanie do serwera DNS z ustawioną wartością opcode na 5 (UPDATE) oraz rekordem ANY w sekcji Prerequisite. Przetworzenie takiego pakietu skutkuje niespełnioną asercją w funkcji dns_db_findrdataset(), i w efekcie kończy się wyjściem serwera BIND.

Warto w tym miejscu dodać, że w sieci pojawiły się rady, jak zablokować tego typu ataki przy pomocy prostej reguły w iptables. Niestety, są one nieskuteczne ponieważ RFC 2136 2.1 stanowi, że tego typu złośliwe zapytanie może zostać wysłane również przy użyciu protokołu TCP. Zalecanym rozwiązaniem jest aktualizacja serwera BIND do najnowszej wersji. Ostatecznie można zdecydować się również na blokowanie komunikacji do serwera master, zostawiając dostępne jedynie serwery slave. Warto tutaj nadmienić, że wyłączenie funkcji dynamicznej aktualizacji (np. poprzez opcję allow-update) – nie chroni przed opisywanym atakiem. (more…)

Wszędobylski PDF.
Każdy z nas spotkał się z plikami PDF. Są one jednym z najpopularniejszych formatów służącym do przenoszenia i udostępniania informacji. Gdy w 1993 Adobe Systems opracowało jego pierwszą wersję najprawdopodobniej nie podejrzewało, że wzbudzi on tak duże zainteresowanie. Obecnie obsługa plików PDF jest możliwa w każdym systemie operacyjnym oraz w większości urządzeń przenośnych z uwzględnieniem najnowszych telefonów komórkowych. Powszechność formatu szybko wzbudziła zainteresowanie środowisk, które specjalizują się w poszukiwaniach podatności w programach oraz potencjalnych metod ich wykorzystania. Nie trzeba było długo czekać, aby w sieci pojawiły się pierwsze złośliwe pliki PDF wykorzystujące luki w najpopularniejszym programie do odczytu – Adobe Acrobat Readerze. Znaczny wzrost ilości krążących w sieci złośliwych PDF’ów nastąpił w drugiej połowie 2008 roku. Miało to najprawdopodobniej związek z uwolnieniem standardu przez Adobe Systems w lipcu 2008 i publikacją pełnego dokumentu opisującego strukturę i funkcjonalność formatu.

Udział procentowy aktywnych w sieci typów exploitów
związanych z plikami PDF
(w odniesieniu do maksimum aktywności w październiku 2008)

Źródło: Microsoft Security Intelligence Report volume 6 (July through December 2008)
CVE-2007-5659 – exploit związany z podatnością funkcji JavaScript CollabEmailInfo
CVE-2008-2992 – exploit związany z podatnością funkcji util.printf

(more…)